Doctor Web: Rückblick und Analyse von Viren & Co. für Januar 2016

Monatsberichte | Hot news | Alle News
[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "Hauptstrasse " }, { box => "Bedrohung des Monats " }, { box => "Statistik " }, { box => "Botnets " }, { box => "Encoder " }, { box => "Für Linux " }, { box => "Böswillige Webseiten " }, { box => "Für mobile Endgeräte" } ] %] [% BLOCK global.tpl_blueprint.content %]

Frankfurt, 29. Januar 2016

Der erste Monat des Jahres 2016 wurde durch eine große Anzahl neuer Malware für Linux geprägt. Darunter sind ein gefährlicher Encoder und eine Backdoor zu finden, die Bildschirmaufnahmen machen und Remote-Befehle von Cyber-Kriminellen ausführen können. Außerdem wurde ein neuer Android-Trojaner sowie eine Reihe von böswilligen Applikationen auf Google Play entdeckt.

Haupttrends

  • Neue Malware für Linux
  • Neuer Verschlüsselungstrojaner für Linux
  • Gefährlicher Trojaner in Android-Firmware

Bedrohung des Monats

Ende des Monats haben die Sicherheitsspezialisten eine multifunktionale Backdoor für Linux entdeckt. Dieser Schädling besteht aus mehreren Komponenten: Dropper und Spyware. Beim Starten zeigt der Dropper ein Dialogfenster an:

screen #drweb

Wenn der Schädling auf dem infizierten PC starten konnte, extrahiert er eine Backdoor und speichert diese auf der Festplatte. Dieses Modul kann über 40 verschiedene Befehle ausführen. Er ist in der Lage, Tastatureingaben abzufangen, böswillige Applikationen zu starten und Dateien an Cyber-Kriminelle weiterzuleiten. Außerdem kann er Dateien auf einen Remote-Server hochladen, Dateien und Verzeichnisse anlegen, umbenennen, Bildschirmaufnahmen machen, bash-Befehle ausführen usw. Weitere Informationen finden Sie hier.

Statistiken von Dr.Web CureIt!

Statistiken von Dr.Web CureIt! #drweb

  • Trojan.DownLoad3.35967

    Download-Trojaner, der Malware herunterlädt und auf dem infizierten PC startet.
  • Trojan.Siggen6.33552

    Der Trojaner installiert andere Malware auf dem infizierten PC.
  • Trojan.LoadMoney

    Download-Trojaner, die durch das Partnerschaftsprogramm LoadMoney generiert werden. Diese Trojaner laden Malware herunter und installieren unerwünschte Software auf dem PC des Opfers.
  • Trojan.Crossrider1.50845

    Der Schädling zeigt verdächtige Werbung an.

Serverstatistiken von Doctor Web

Serverstatistiken von Doctor Web  #drweb

  • Trojan.Zadved

    Trojaner, der eigene Ergebnisse in Suchanfragen unterschiebt und gefälschte Meldungen in sozialen Netzwerken anzeigt. Außerdem ersetzt er Werbemeldungen.
  • Trojan.Siggen6.33552

    Schädling, der auf die Installation anderer Software zugeschnitten ist.
  • Trojan.LoadMoney

    Download-Trojaner, die durch das Partnerschaftsprogramm LoadMoney generiert werden. Diese Trojaner laden Malware herunter und installieren unerwünschte Software auf dem PC des Opfers.
  • Trojan.DownLoad3.35967

    Download-Trojaner, der aus dem Internet Malware herunterlädt.
  • BackDoor.IRC.NgrBot.42

    Backdoor, die seit 2011 bekannt ist. Sie ist in der Lage, Befehle von Cyber-Kriminellen zu empfangen und infizierte Geräte durch IRC (Internet Relay Chat) zu verwalten.

Malware im E-Mail-Verkehr

Malware im E-Mail-Verkehr #drweb

  • Trojan.Encoder.567

    Encoder, der Dateien der Benutzer verschlüsselt und für die Entschlüsselung Geld fordert. Er ist in der Lage, Dateien mit folgenden Endungen zu verschlüsseln: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.
  • Trojan.DownLoader

    Trojaner, die zum Herunterladen von Malware auf den anzugreifenden PC gedacht sind.
  • Trojan.PWS.Stealer

    Trojaner, die für das Klauen von Passwörtern und sensiblen Daten zugeschnitten sind.
  • Trojan.Encoder.3539

    Verschlüsselungstrojaner, der Geld für die Entschlüsselung von Inhalten fordert.

Botnets

Die Sicherheitsspezialisten von Doctor Web verfolgen den Stand des Botnets, welcher auf Basis von Win32.Rmnet.12 eingerichtet wurde.

screen #drweb

screen #drweb

Rmnet ist ein Dateivirus, der sich ohne Teilnahme des Benutzers verbreitet und in Webseiten einbettet. Theoretisch kann der Virus sensible Daten, Cookies und Passwörter von beliebten FTP-Clients klauen.

Aktiv ist auch das Bot aus durch Win32.Sector infizierten PCs. Der Schädling verfügt über folgende Funktionen:

  • Herunterladen aus dem P2P-Netzwerk und Starten von ausführbaren Dateien auf dem PC;
  • Integration von böswilligen Prozessen;
  • Abbrechen von Antivirensoftware durch Malware und Sperrung des Zugangs zu Webseiten der Virenschutzsoftware;
  • Infizierung von Dateien auf lokalen Festplatten und Wechseldatenträgern (auf denen die autorun.inf-Datei erstellt wird) sowie in allgemein zugänglichen Verzeichnissen.

Aktivitäten des Botnets im Januar 2016:

Win32.Sector #drweb

Encoder

Encoder #drweb

Die meist verbreiteten Encoder im Januar 2016

Dr.Web Security Space 11.0 für Windows
schützt vor Encodern

Diese Funktion ist in der Lizenz für Dr.Web für Windows nicht verfügbar.

Schutz vor Datenverlust
Schutz vor Datenverlust Schutz vor Datenverlust

Mehr

Malware für Linux

Eine rekordverdächtige Verbreitung erfuhr in diesem Monat Malware für die Linux-Plattform. Einer davon ist Linux.Encoder.3, der von Malware-Entwicklern schon verbessert wurde. Die Malware weist aber immer noch Fehler auf und kann Dateien nicht komplett verschlüsseln.

Für Linux.Encoder.3 sind keine Superbenutzerrechte erforderlich. Er kann bereits mit Webserver-Rechten starten. Linux.Encoder.3 kann sich die Zeit der Anpassungen merken und diese ändern. Mehr zum Encoder finden Sie hier.

Die Virenanalysten von Doctor Web entdeckten außerdem Linux.Ekoms.1, der jede halbe Stunde eine Bildschirmaufnahme macht und diese im temporären Verzeichnis speichert. Alle Inhalte werden im temporären Verzeichnis zwischengespeichert. Außerdem kann Linux.Ekoms.1 Dateien auf den Server der Cyber-Kriminellen hochladen sowie andere Dateien herunterladen.

Darüber hinaus wurde im Januar 2016 auch eine Windows-kompatible böswillige Applikation mit dem Namen Trojan.Ekoms.1 entdeckt. Beim Starten sucht der Trojaner nach Dateien im temporären Verzeichnis %appdata%, um der wiederholten Infizierung des Systems vorzubeugen. Wenn keine Dateien gefunden werden, speichert er seine eigene Datei. Neben Bildschirmaufnahmen speichert Trojan.Ekoms.1 Tastaturabdrücke in .kkt-Dateien sowie eine Liste von Dateien in der .ddt-Datei und übermittelt diese auf den Server der Cyber-Kriminellen. Der Trojaner verfügt über eine gültige Signatur "Issledovaniya i razrabotka" und ein Wurzelverzeichnis von Comodo.

screen #drweb

Ende Januar berichteten mehrere Zeitschriften und Blogs über den Wurm „TheMoon“. Dieser Schädling wurde von Dr.Web als Linux.Themoon.2 klassifiziert und ist schon seit dem 14. Dezember 2015 bekannt. Mehr zum Schädling erfahren Sie hier.

Gefährliche Webseiten

Im Januar 2016 wurden 625.588 Web-Adressen in die Datenbank von nicht empfohlenen und böswilligen Webseiten aufgenommen.

Dezember 2015Januar 2016Wachstum
+210.987+625.588+196%

Mehr zu nicht empfohlenen Webseiten erfahren

Malware und unerwünschte Software für mobile Endgeräte

Der vergangene Monat zeigte, dass das Interesse an der Google-Android-Plattform immer noch hoch ist. So entdeckten die Virenanalysten von Doctor Web Android.Cooee.1 in der Firmware von Philips s307. Der Trojaner war für das Herunterladen und die Installation von Malware gedacht. Ende Januar haben die Sicherheitsspezialisten von Doctor Web über 60 Spiele auf Google Play entdeckt, die mit Android.Xiny.19.origin infiziert waren. Dieser Schädling ist in der Lage, apk-Dateien von Cyber-Kriminellen zu starten, Malware hochzuladen und unerwünschte Werbung zu zeigen.

Hauptereignisse in der IT-Sicherheitsszene im Januar:

  • Spiele mit einem eingebetteten Trojaner auf Google Play
  • Android-Trojaner in Philips s307
[% END %]
Aktuelle News Alle News